Violazione del GDPR, sanzione da 45 milioni di euro a Vodafone

Il Commissario federale per la protezione dei dati e la libertà di informazione della Germania - Bundesbeauftragter für Datenschutz und Informationsfreiheit – "BfDI"-  ha inflitto una sanzione di 45 milioni di euro a Vodafone. La ragione: non aver controllato le agenzie partner che avevano usato i dati personali dei clienti senza consenso e per delle vulnerabilità che hanno permesso di accedere ai profili eSIM.

E' stato scoperto da parte dell'autorità tedesca che alcuni dipendenti delle agenzie partner utilizzavano i dati dei clienti per sottoscrivere contratti fittizi o per cambiare le condizioni di quelli in essere, senza autorizzazione. 

Vodafone non ha monitorato come avrebbe dovuto l’operato delle agenzie, violando quindi il comma 1 dell’art. 28 del GDPR, che prescrive che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.”

In tema di sicurezza

Vodafone ha ricevuto una seconda contestazione che si riferisce alla sicurezza. A causa di alcune vulnerabilità presenti nel portale My Vodafone era possibile l’autenticazione non autorizzata di terze parti e l’accesso ai profili eSIM degli utenti. Questa è una violazione del comma 1 dell’art. 32 del GDPR, che richiede l’adozione di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Nel dettaglio, per il mancato controllo delle agenzie partner è stata inflitta una sanzione di 15 milioni di euro; la multa per le vulnerabilità ammonta invece a 30 milioni di euro. Il Commissario federale per la protezione dei dati e la libertà di informazione tedesco ha infine comunicato che Vodafone è stata collaborativa durante i procedimenti, fornendo tutte le informazioni richieste.

L’operatore telefonico ha già provveduto a pagare la sanzione per un importo complessivo di 45 milioni di euro. Ha migliorato i sistemi in termini di sicurezza e annullato i contratti con le agenzie responsabili dell’uso illecito dei dati. Il garante effettuerà successivamnte una nuova verifica delle misure adottate da Vodafone. 

Stando a quanto riferisce Bloomberg, un portavoce di Vodafone ha rinnovato l’impegno dell’azienda per la protezione dei dati dei propri clienti.